Web3 開發平台 ThirdWeb 旗下的開發人員，近日發現一個廣泛用於多個 Web3 服務的開源程式庫，含有一個漏洞，可能影響到多個 NFT 平台、智慧合約與收藏集的安全性。

ThirdWeb 指出，該公司在 2023 年 11 月 20 日時發現了該漏洞，並在 2 天後推送修正版本；但該公司並未對外公開是哪個開源程式庫內存有漏洞，也沒有透露該漏洞的嚴重性。在通報中僅揭露極少量的訊息，以免有駭侵者利用通報資訊來發動攻擊。

ThirdWeb 表示，該公司除了與含有此漏洞的開源程式庫維護人員聯絡外，也與可能受此漏洞影響的平台或服務業者分享所發現的漏洞。

受到該漏洞影響的智慧合約如下：

• AirdropERC20 (v1.0.3 與後續版本)、ERC721 (v1.0.4 與後續版本)、 ERC1155 (v1.0.4 與後續版本) ERC20Claimable、ERC721Claimable、ERC1155Claimable
• BurnToClaimDropERC721 (所有版本)
• DropERC20、ERC721、ERC1155 (所有版本)
• LoyaltyCard
• MarketplaceV3 (所有版本)
• Multiwrap、Multiwrap_OSRoyaltyFilter
• OpenEditionERC721 (v1.0.0 與後續版本)
• Pack 與 Pack_OSRoyaltyFilter
• TieredDrop (所有版本)
• TokenERC20、ECRC721、ERC1155 (所有版本)
• SignatureDrop、SignatureDrop_OSRoyaltyFilter
• Split (影響程度較低)
• TokenStake、 NFTStake、 EditionStake (所有版本)

不過，一些 NFT 使用者抱怨這個漏洞資訊不夠透明，例如缺少 CVE 漏洞編號與如何解決的相關資訊；而  ThirdWeb 則表示所有在 2023 年 11 月 22 日美國太平洋時間晚間 7 點前製作的智慧合約，都應該立即針對該漏洞，以該公司提供的工具來進行應對處理。

NFT 平台或相關產品應檢視是否受該漏洞影響，並立即修補，以免因此漏洞造成損失。

• 參考連結

Smart contract security vulnerability 12/4

https://blog.thirdweb.com/security-vulnerability/

Multiple NFT collections at risk by flaw in open-source library

https://www.bleepingcomputer.com/news/security/multiple-nft-collections-at-risk-by-flaw-in-open-source-library/